[https://www.youtube.com/watch?v=ItDKEoa7Uyw:embed:cite]

平成28年度秋期応用情報技術者試験午後問1「情報セキュリティ」の過去問を徹底解説します。証券会社で発生したID・パスワードの不正利用インシデントを題材に、パスワード運用の見直しから、PKIを用いたICカード認証、そして指紋認証システムの導入に至るまでのプロセスを網羅しています。特に生体認証における方式の比較や、製品選定の決め手となる「他人受入率」などの重要指標について詳しく説明します。 本動画では証券会社S社で実際に発生したセキュリティインシデントを題材に、認証システムの強化プロセスを順を追って学習していきます。まず初めに理解すべきはパスワードに対する攻撃手法と防御策の関係性です。攻撃者が考えられる全ての文字の組み合わせを機械的に試すブルートフォース攻撃に対しては、一定回数連続してログインに失敗した際に操作を一時的に不能にするアカウントロック機能の実装が最も有効な対抗手段となります。一方で、攻撃者がターゲットの誕生日や社員番号などの属性情報からパスワードを推測する類推攻撃に対しては、アカウントロックでは防ぎきれないため、IDと同じ文字列の使用禁止や英数字記号を混在させた8文字以上の文字列設定など、パスワードポリシーによって複雑性を強制することが求められます。次に、より強固な本人確認手段として検討されたICカード認証においては、カード内に格納された秘密鍵と対になるクライアント証明書の仕組みを正しく理解する必要があります。ここで登場するPKIすなわち公開鍵基盤は、認証局CAによって正当性を保証する仕組みであり、ICカード導入時には不可欠な技術基盤として試験でも頻出の重要キーワードです。さらに本問の核心となる生体認証システムの導入フェーズにおいては、指紋認証の方式選びが極めて重要な論点となります。指紋の画像をそのままデータ化して照合するパターンマッチング方式に対し、隆線の分岐点や端点といった特徴点のみを抽出して座標データとして記録するマニューシャ方式は、万が一データベースから生体情報が漏えいしたとしても、その点群データから元の指紋画像を完全には再現できないため、セキュリティ侵害時の実害が少ないという大きな利点があります。そして最終的な製品選定の段階では、システム管理者が最も重視すべき定量的な指標として他人受入率と本人拒否率の違いを明確に区別しなくてはなりません。利便性に関わる本人拒否率よりも、セキュリティの観点からは誤って他人を本人として許可してしまう他人受入率の低さが優先されます。本事例の結末として、担当者T君が製品DやEではなく製品Bを選定した理由は、他人受入率が低いことに加えて、氏名などの個人情報とセンシティブな生体情報を物理的に異なるサーバーで分けて管理できるという要件を満たしていた点にありました。このように単なる用語の暗記ではなく、インシデント対応から新システム導入に至る一連のストーリーの中で、各技術がなぜ採用されたのかという背景事情や比較検討のロジックとセットで理解を深めることが応用情報技術者試験合格への近道です。